IOC
定義
IOC(Indicators of Compromise:侵害の痕跡)とは攻撃が行われたことを示す証拠となるデータポイントです。不審なIPアドレス・ドメイン・URL・ファイルのSHA256ハッシュ・レジストリキー・プロセス名・ネットワーク通信パターン・メールの件名・添付ファイルのハッシュなどが含まれます。脅威インテリジェンスプラットフォーム(MISP・VirusTotal・商用CTIフィード)で共有・配信され、SIEMやEDRのアラートルールに組み込んで自動検知に活用します。IOCは「既に起きたことの証拠」という性質上、高度なAPTはC2インフラを頻繁にローテーションするため、IOCのみに依存する検知戦略は限界があります。IOCより抽象度の高い「TTPベースの検知」(MITRE ATT&CKのテクニックレベルで検知ルールを構築する)はインフラ変更では回避できないため、より堅牢な検知アプローチです。インシデントレスポンス時にIOCを素早く抽出・共有することで、組織内外での横展開を防止できます。
関連用語
同じカテゴリの用語(防御・対策)
内部ネットワークとインターネットの間に設ける緩衝ゾーン。WebサーバーやメールサーバーなどをDMZに配置することで、外部…
エンドポイント(PC・サーバー・スマートフォン)上の挙動をリアルタイム監視し、高度な脅威を検知・調査・対応するセキュリテ…
ネットワークやホストへの不正アクセス・攻撃を検知して管理者に通知するシステム。シグネチャベースと異常検知ベースがある。検…
IDSの機能に加え、検知した攻撃をリアルタイムに自動遮断するシステム。インラインに設置され、悪意のあるトラフィックをブロ…
複数のセキュリティ製品からログを集約し、リアルタイム分析・相関分析・アラート生成を行うプラットフォーム。Splunk・M…
セキュリティ監視・インシデント検知・対応を24時間365日担当する組織・施設。SIEM・IDS/IPS・脅威インテリジェ…
関連するレッスン
組織を守る実践的な防御策を学ぶ